Origine : bjCSIRT

Numéro : 2025/ALERTE/021

Date de l’alerte : 07/03/2025

APERÇU :

De multiples vulnérabilités ont été découvertes dans les produits VMware ESXi, VMware Workstation Pro/Player et VMware Fusion permettant à des acteurs malveillants de provoquer une exécution de code à distance et une divulgation de données sensibles.

DESCRIPTION :

VMware Workstation, Fusion, et ESXi sont des solutions de virtualisation proposées par VMware permettant de créer, gérer et exécuter des machines virtuelles sur différentes plateformes (Windows, Linux, macOS, ou serveurs). 

Ces produits sont affectés par plusieurs vulnérabilités libellées comme suit :   

CVE-2025-22224 : affectant VMware ESXi et Workstation, cette vulnérabilité de type TOCTOU (Time-of-Check Time-of-Use) entraîne une modification non contrôlée de la mémoire qui permettrait à un acteur malveillant disposant de privilèges administrateurs sur une machine virtuelle d’exécuter du code arbitraire sur l’hôte. Elle est classée critique, avec un score de sévérité de 9.3 selon le CVSS v3.1. 

CVE-2025-22225 : affectant VMware ESXi, cette vulnérabilité d’écriture arbitraire dans le noyau permettrait à un acteur malveillant ayant des privilèges administrateurs sur une machine virtuelle de prendre le contrôle du processus VMX dans le but de contourner les mécanismes d’isolation et sortir de l’environnement confiné (sandbox). Elle est classée élevée, avec un score de sévérité de 8.2 selon le CVSS v3.1. 

CVE-2025-22226 : affectant VMware ESXi, Workstation et Fusion, cette vulnérabilité de divulgation d’informations est due à une lecture de zone mémoire en dehors de la zone allouée dans HGFS (Host Guest File System) qui permettrait à un acteur malveillant ayant des privilèges administrateurs d’extraire des données sensibles du processus VMX. Elle est classée élevée, avec un score de sévérité de 7.1 selon le CVSS v3.1.

IMPACT :

• Exécution de code arbitraire ;
• Contournement de la politique de sécurité ;
• Atteinte à la confidentialité des données ;
• Atteinte à l’intégrité des données. 

 SYSTÈMES AFFECTÉS : 

• VMware ESXi versions 7.0 et 8.0 ;
• VMware Workstation Pro et Player versions 17.x ;
• VMware Fusion Versions 13.x. 

MESURES À PRENDRE :

Appliquer les mises à jour disponibles sur le site de l’éditeur.

RÉFÉRENCES :

• https://nvd.nist.gov/vuln/detail/CVE-2025-22224
• https://nvd.nist.gov/vuln/detail/CVE-2025-22225
• https://nvd.nist.gov/vuln/detail/CVE-2025-22226
• https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25390